Für jedes Thema gibt es einen Tag im Kalender. Weltfrauentag, Tag des Bieres und sogar den europäischen Tag für Datenschutz. Datensicherheit spielt in unserem Haus aber nicht nur an einem Tag eine große Rolle, sondern ist für uns ganzjährig sehr wichtig.
Am 25. Mai 2018 – sicher seid ihr nicht daran vorbeigekommen – ist die europäische Datenschutzgrundverordnung (EU-DSGVO) in Kraft getreten. Das Thema Datenschutz ist natürlich nicht erst seit diesem Tag ein wichtiges Thema für uns. Dennoch kamen mit der DSGVO zahlreiche Veränderungen, die alle genau beachtet und anschließend in den Unternehmensalltag implementiert werden mussten. Im Folgenden werde ich euch einen kleinen Einblick gewähren, wie wir hier mit dem Thema Datenschutz umgehen und welche Prozesse es bei uns gibt.
Ein externer Datenschutzbeauftragter
Bereits vor der Einführung der DSGVO war es bei Herth+Buss so, dass wir einen externen Datenschutzbeauftragten hatten. Dieser ist von der Geschäftsleitung damit beauftragt, alle Themen, Anfragen und Probleme, die mit dem Themengebiet Datenschutz in Berührung kommen, zu bearbeiten und ein Datenschutzmanagementsystem aufzubauen. Der externe Datenschutzbeauftragte war entsprechend auch dafür verantwortlich, die Änderungen, die mit der DSGVO einhergingen, gemeinsam mit mir als Datenschutzkoordinator in unserem Unternehmen zu implementieren.
Was genau heißt das?
Das zeige ich euch am Beispiel des Verzeichnisses der Verarbeitungstätigkeiten:
Hierbei geht es darum, dass zunächst einmal sämtliche Prozesse in unserem Unternehmen identifiziert werden müssen, bei denen personenbezogene Daten verarbeitet werden. Zu personenbezogenen Daten zählen unter anderem E-Mail-Adresse und ähnliches. Anschließend muss jeder identifizierte Prozess dahingehend analysiert werden, ob z.B. besondere Kategorien personenbezogener Daten betroffen sind und ob ein geeignetes Löschkonzept für die Daten inklusive Löschfrist vorhanden ist. Außerdem muss eine Risikoanalyse durchgeführt werden.
Im Allgemeinen wird in einer Risikoanalyse die Eintrittswahrscheinlichkeit verschiedenster Ernstfälle ermittelt. Ein solcher Fall könnte beispielsweise sein, dass wir Ziel eines Hackerangriffs werden. Wir bewerten die Schwere bzw. Auswirkungen eines Hackerangriffs. Ist das Ergebnis dieser Risikoanalyse, dass ein hohes Risiko besteht, muss anschließend noch eine Datenschutzfolgenabschätzung durchgeführt werden.
Alle erfassten Prozesse werden dokumentiert und im Verzeichnis der Verarbeitungstätigkeit hinterlegt. Natürlich handelt es sich hierbei um einen laufenden Prozess. Das Verzeichnis wird bei Veränderungen der Prozesse oder der Einführung neuer Prozesse stetig aktualisiert.
Neben dem Verzeichnis der Verarbeitungstätigkeit hat der Datenschutzbeauftragte natürlich noch weitere Aufgaben. Zahlreiche Anfragen, wie beispielsweise die Einführung einer neuen Anwendung im Unternehmen, werden vom Datenschutzbeauftragten dahingehend beurteilt, ob der Datenschutz unmittelbar betroffen ist bzw. wenn ja, ob die Anwendung alle notwendigen Voraussetzungen erfüllt, um Datenschutzansprüchen gerecht zu werden.
Für mehr Datenschutz
Wichtig ist hier natürlich die kontinuierliche Schulung unserer Mitarbeiter. So stellen wir sicher, dass diese immer auf dem neuesten Stand sind. Auch offene Fragen oder Probleme können so schnell gelöst werden.
Wenn Ihr mehr darüber wissen wollt, wie wir mit Informationssicherheit umgehen, schaut doch mal in unseren Beitrag dazu.
